Kyberturvattomuus on liiketoimintariski

Finnish Information Security Clusterin (FISC) eli Kyberala ry:n tuore toimitusjohtaja Peter Sund kertoo, että vuosi 2022 oli työrintamalla vauhdikas.

Venäjän ja Ukrainan sota on saanut sekä yksityisen että julkisen sektorin varpailleen kaikessa, mikä liittyy kyberturvallisuuteen. Digitaalisen toimintaympäristön turvallisuuteen on muun muassa EU:ssa panostettu voimakkaasti jo ennenkin, mutta kriisi on nostanut turvallisuuteen priorisointia entisestään.

”Digitaalisessa maailmassa valtioiden rajat ovat lähes olemattomia. Suomi on osana EU:ta ja länsimaita myös osa demokratiaa ja sääntöpohjaista maailmanjärjestystä edistävää ryhmittymää. Tämä asettaa suomalaiset asemaan, jossa meidät nähdään sodan aiheuttaneiden toimijoiden näkökulmasta vastustajana.”

Sundin mukaan uudessa tilanteessa on jonkinlainen onni onnettomuudessa, että Suomi on digitaalisesti edistyksellinen ja omaa valmiuksia myös kyberturvallisuudessa. Toisaalta harmillista on, että ymmärrys asiasta ei ole jakaantunut aivan tasaisesti yhteiskunnassa, vaan aiheeseen liittyy edelleen paljon mystiikkaa. Kyberturvallisuuteen myös suhtaudutaan osin huolettomasti.

”Suomalainen kyberturvallisuusteollisuus on vahva, innovatiivinen ja luotettava toimiala. Useat Suomessa toimivat kyberalan yritykset keskittyvät aivan erityisesti siihen, kuinka digitaalisesta maailmasta tehdään turvallisempi. Teknologiaa ja palveluita tarvitaan juuri siihen, kuinka eri toimijoiden data pidetään tuottavassa käytössä ja saatavilla niille, joille se on tarkoitettu.”

Kyberuhat samanlaisia kaikkialla

Suomi on osa ”rajatonta” digitaalista maailmaa myös siinä mielessä, että toimistoympäristöjen kohtaamat kyberuhat ovat samanlaisia kaikkialla.

Sundin mukaan merkittävän lisäriskin alla elävät erityisesti valmistavan teollisuuden yritykset. Valmistukseen liittyvissä tuotantolaitoksissa ja tehtaissa digitaalisuus on moniulotteisempaa kuin toimistoympäristöissä. Toiset yritykset ovat digitalisoineet tuotantoprosessien osia jo pitkälle ja toisaalta monien työvaiheiden kohdalla digiloikkaa ollaan vasta ottamassa.

”Osa valmistavan teollisuuden tuotannosta on kytketty verkkoihin, joka nojaa digitaaliseen ohjaukseen ja tuottaa uutta dataa koko ajan. Siellä piilee hankalammin hallittavia riskejä, joihin kannattaa suhtautua vakavasti ja huolella.”

”Toki yritystoiminnan jatkuvuus voidaan menettää niin sanotusti toimistoverkonkin puolella, jos esimerkiksi asiakastiedot, liiketoiminta-asiakirjat tai muut välttämättömät tiedot äkisti tuhoutuvat vaikkapa kiristyshaittaohjelman vuoksi.”

Sundin mukaan sellainen tilanne voi ajaa yritystoiminnan polvilleen. Tuotannon puolella voi joskus olla selkeämpi hahmottaa, mitkä ongelmat ennen digitalisaatiota ovat voineet aiheuttaa merkittävää haittaa tuotannolle ja sitä kautta käyttää samanlaista lähestymistapaa tuotannon digitaalisten osioiden riskialttiuksien hahmottamiseen.

Yritysten kannattaa tehdä riskiarvioita siitä, kuinka vakavan haitan yrityksen digitaalisissa palveluissa tai infrastruktuurissa tapahtuva häiriö voi aiheuttaa tuotannon jatkuvuudelle.

”Kun yritys kehittää järjestelmiään, niin inhimillisen epähuomion seurauksena on voinut tapahtua esimerkiksi niin, että suljetusta yritysverkosta onkin jäänyt havaitsematta käytävä avoimeen verkkoon. Silloin kaikki se, mikä oli tarkoitettu säilytettäväksi suljetussa verkossa, altistuu niille uhille, mitkä avoimen verkon kautta voivat tulla.” 

Ennaltaehkäisevät toimenpiteet tärkeitä

Sund sanoo, että yritykset voivat minimoida kyberriskejä. Uhkien torjumiseksi voi, ja kannattaa, tehdä tiettyjä toimenpiteitä.

”Digitaalisen turvallisuuden uhat ovat aina osa liiketoimintariskiä ihan samalla tavalla kuin likviditeettiriski tai häiriöt logistiikkaketjussa ovat liiketoimintariskejä. Ja liiketoimintariskien hallinta taas on yrityksen ydintoimintaa. Sattuma ja onni eivät ole hyviä lähtökohtia toisin kuin tinkimätön pyrkimys laatuun ja toimitusvarmuuteen.”

Asioita, joita jokainen yritys voi tehdä, on luotettavien palveluntarjoajien käyttäminen siihen, että näkee vaivaa ymmärtääkseen oman digitaalisen infrastruktuurinsa ja kartoittaa oman uhkapinta-alansa sekä pyrkii pienentämään sitä.

”Esimerkiksi teollisuusalan yritykselle on kannattava investointi selvittää, missä oman toiminnan jatkuvuuden riskit piilevät. Lähes kaikki ymmärtävät, että hyvä käytäntö on asentaa kaikki päivitykset heti, kun ne ovat saatavilla. Tähän kannattaa suhtautua perustoimenpiteenä, digitaalisena hygieniana.”

Tuotantojärjestelmien suhteen asia ei ole aivan näin yksinkertainen. Tuotannon tai tehtaan puolella yrityksen täytyy nähdä enemmän vaivaa kyberturvallisuutensa eteen, koska järjestelmäkomponenttien tai osioiden päivittäminen ei yleensä onnistu tuosta vain. Sund vakuuttaa, että näihin asioihin käytetty aika on vaivansa arvoinen, sillä vahingot ovat aina kalliimpia kuin ennaltaehkäisyn ratkaisut.

”Sen lisäksi, että yrityksen tulisi esimerkiksi tietää, mitkä ja missä ovat keskeisimmät järjestelmät ja tiedot, joihin toiminta nojaa, olisi paikallaan olla prosessit näitä järjestelmiä koskevien haavoittuvuuksien tunnistamiselle sekä tietojärjestelmäpoikkeamien tunnistamiselle.”

Sundin mukaan on tärkeää ymmärtää eri kyberuhkien merkitys omalle yritystoiminnalle. On kokonaan toinen asia, kuinka hyvin yrityksen verkkosivut kestävät verkkosivujen ylikuormittamista kuin se, että kiristyshaittaohjelma pääsee yrityksen tietojärjestelmiin ja tuhoaa pysyvästi yrityksen tärkeitä tietoja ja samalla jopa itse tietokoneita, läppäreitä, palvelimia tai muita tiedon tallentamiseen käytettyjä ratkaisuja.

Sund sanoo, että tiedot kannattaa pyrkiä luokittelemaan mahdollisimman kattavasti, sillä kaikki tieto ei ole saman arvoista. Lisäksi yrityksellä tulisi olla liiketoimintariskien hallintaan tähtäävä prosessi, jonka kautta myös digitaalisiin toimintoihin paikannettuja riskejä saadaan käsiteltyä.

”Riskejä ei voida koskaan poistaa kokonaan, mutta suhteellisen vakiomuotoisilla ratkaisuilla voidaan merkittävästi vähentää vakavien tapahtumien riskejä.”

Digitaalisuus mahdollistaa aiempaa helpomman teollisuusvakoilun

Sund pitää realistisena, että esimerkiksi Vertex Systemsin ja sen kilpailijoiden asiakkaista lähes kaikki ovat altistuneet kybervakoilulle muodossa tai toisessa. Sitä ei vain välttämättä ole huomattu tai tunnistettu sellaiseksi. Altistumisen ilmiasu saattaa olla niinkin simppeli kuin sähköpostitse saapunut kalasteluviesti.

Digitaalinen yritysvakoilu on usein huomaamattomampaa kuin reaalimaailmassa tapahtuva vakoilu – ja digitaalisessa maailmassa myös paljon yleisempää juuri siksi, että se on edullista, helpohkoa ja voidaan ulottaa laajamittaisesti kehen tahansa jopa toiselta puolen maailmaa.

Sundin mukaan jokaisen yrityksen on tärkeää havaita se, että kohteena eivät suinkaan ole vain suuret ja ”merkittävänä” pidetyt yritykset. Kaikenlaisia ja -kokoisia yrityksiä yritetään jatkuvasti höynäyttää digitaalisin keinoin. Kyberrikollisuus tässä mielessä on oma teollisuuden alansa, ja rikollisille varsin tuottavaa.

Varastettu data voi päätyä kaupankäynnin kohteeksi, se saatetaan välittää geopoliittista kilpailuetua hakevien hallitusten käyttöön tai sitä voidaan julkaista avoimessa internetissä muiden hämmästeltäväksi ja käytettäväksi.

”Mikä tahansa organisaatio voi joutua kyberrikoksen kohteeksi, ja joutuukin. Samalla tavalla kuin roskapostia tulee meille kaikille, riippumatta siitä, onko vastaanottajana kokki vai poliitikko.”

Ota yhteyttä! Mietitään yhdessä miten voisimme parantaa yrityksenne kilpailukykyä ja tuottavuutta nykyaikaisilla tuotetiedonhallinnan ja suunnittelun työkaluilla.

Timo Peura
Vertex-asiantuntija
040-8600940
etunimi.sukunimi@vertex.fi